Киберпреступники могут заставить инструмент для диагностирования программы Microsoft Store стирать различные файлы с устройства жертвы. При этом с помощью встроенного в Windows 10 ПО можно удалить не только произвольные пользовательские файлы, но и антивирусные сигнатуры, системные драйверы.
Уязвимым оказался инструмент wsreset.exe, который потенциально может использоваться киберпреступниками для обхода антивирусного ПО, работающего в системе Windows 10. Основное предназначение этого инструмента – диагностирование проблем в функционировании Microsoft Store (магазин приложений). Специалисты из издания BleepingComputer отмечают, что при использовании данного инструмента можно удалить с устройства жертвы практически любые виды файлов, в том числе и системные.
Киберпреступнику для проведения атаки с использованием wsreset необходимо добавить папку, которая переведет путь \INetCookies на стороннюю папку. За счет этого при запуске wsreset.exe содержимое этой сторонней папки будет полностью удалено, потому что инструмент имеет высокие привилегии в системе, которые установлены по умолчанию.
Перед началом атаки киберпреступнику необходимо стереть исходный каталог \INetCookies. Подобные действия доступны для любого пользователя или вредоносного ПО, даже если их привилегии в системе ограничены. После этого формируется «ссылка» (можно воспользоваться утилитой mklink.exe с параметром /J или командой PowerShell «newitem» с параметром -ItemType.
Дмитрий Кирюхин, ИБ-специалист компании SEC Consult Services, прокомментировал обнаруженную уязвимость: «По-хорошему, любой инструмент, который располагает правом удаления файлов из системы пользователя, обязан проверять, из какой именно папки выполняется удаление файлов. При этом сам процесс удаления должен производиться только при условии разрешения со стороны пользователя с максимальными привилегиями. У простых пользователей не должно быть полномочий по запуску инструментов, которые имеют большие привилегии, чем они сами. Wsreset.exe является утилитой для администрирования, поэтому ее запуск должен осуществляться только администратором».
